Clop 勒索病毒组织针对 Cleo 漏洞展开攻击

文章重点

• Clop 勒索病毒组织 针对 Cleo 管理的文件传输平台的 重大漏洞 发动攻击。
• 新的漏洞 CVE-2024-55956 允许未经身份验证的文件写入，且与旧漏洞无关。
• 受影响用户 被建议升级到版本 5.8.0.24 以解决漏洞。
• 研究人员发现 Cleo 伺服器在攻击中被 Java 后门 入侵，并称该恶意软件为 「Malichus」 。
• Clop 勒索病毒组织的攻击范围可能会影响数千家公司。

Clop 勒索病毒组织近日承认对 Cleo 管理的文件传输平台 Harmony、VLTrader 和 LexiCom 的攻击负有责任，这些攻击主要是利用了
CVE-2024-50623 这一重大漏洞。据报导，该组织之前也曾对 2023 MOVEit Transfer 的供应链攻击负责，影响了近
2800 家组织。尽管漏洞 CVE-2024-50623 在 10 月已经修补，但 Clop 组织仍继续进行攻击，并利用了另一个漏洞
CVE-2024-55956 。

Rapid7 的首席安全研究员 Stephen Fewer 在发送给 SC Media 的电子邮件中解释道：“新漏洞 CVE-2024-55956是未经身份验证的文件写入漏洞。这与旧漏洞 CVE-2024-50623不同，后者是未经身份验证的文件读取和写入漏洞。”他指出，这两个漏洞虽然出现在相似的代码基础中，并可以通过相同的目标端点访问，但它们的利用策略不同。

Cleo 近期已针对新漏洞进行修补，并建议使用 Cleo Harmony、VLTrader 和 LexiCom 的用户尽快升级到版本
5.8.0.24 以彻底解决问题。

漏洞 | 描述 | 修补状态
—|—|—
CVE-2024-50623 | 未经身份验证的文件读取和写入漏洞 | 已于10月修补
CVE-2024-55956 | 未经身份验证的文件写入漏洞 | 最近修补中

攻击的影响与发现

在 Huntress 的研究人员的调查下，发现了第二个漏洞，并在 12 月 9 日报告指出，至少有 10 家企业的 Cleo伺服器在此次攻击中遭到入侵。这些攻击者被观察到在被攻击的 Cleo 伺服器上部署一种先前未知的 Java 后门，研究人员将此新型恶意软件命名为
「Malichus」 。

Rapid7 也发表了针对 Malichus 后门的分析报告，并建议用户立即更新、移除 Cleo 产品的公共访问和禁用 Cleo 的 Autorun目录，这是 CVE-2024-55956 利用链的一个重要组成部分。

虽然部分安全研究人员将 Cleo 的攻击与 Termite 勒索病毒组织 相关联，但 Clop 表示他们对 Cleo攻击负有责任。在其泄漏网站上，Clop 现在宣称将删除之前受害公司的所有数据，并专注于 Cleo 受害者。

Clop 勒索病毒组织自 2019 年以来一直活跃，以针对文件传输服务的定向攻击而闻名，包括 2023 年的 Progress SoftwareMOVEit 和 Fortra GoAnywhere 以及 2020 年的 Accellion。Black Kite 的首席研究与情报官 FerhatDikbiyik 对 SC Media 表示，Cleo 攻击与 MOVEit 的攻击相似，可能造成的影响